Access to the content		Beginning of the report
	Description		This document is a report on the RSA exhibit of 18 and 21 February 2002 in San Jose (USA).
	Context & Dates		Report made for our news monitoring service . The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference. 20 February 2002 - Report writing 22 February 2002 - Sending to the news monitoring service subscribers 14 January 2003 - Publication on HSC's web site
	Author		Hervé Schauer (Herve.Schauer@hsc.fr)
	Type
	Abstract & Table of content
	Related documents
	Copyright		© 2002, Hervé Schauer Consultants, all rights reserved.

L'exposition RSA réuni plus de 200 exposants. Elle ne remplie cependant plus la salle d'exposition du centre de conférence comme en 2000 ⁽¹⁾. Pourtant les exposants indiquent que RSA a fait des ristournes importantes notamment à ses partenaires en offrant des stands beaucoup plus grands pour le prix de petits stands, afin d'occuper la place.

L'exposition ne propose pas de réelles nouveautés mais demeure interessante par sa taille et son aspect mondial.

Les PKIs qui ont fait le succès de cette exposition les années précédentes ont en apparance totalement disparues. D'une part il y a beaucoup moins d'acteurs qu'auparavant, d'autre part le marketing a décidé d'effacer les mots infrastructure de clés (PKI), qui sont devenus péjoratifs, par gestion de la confiance, services de confiance, approvisionnement des utilisateurs, déploiement, authentification centralisée, et toutes combinaisons de ces mots.
Il y a cependant une nouveauté de marque, l'apparition de concurrents à Valicert (http://www.valicert.com/) dans les serveurs OCSP pour la vérification en ligne des certificats, avec par exemple Computer Associates (http://www.ca.com/) et le coréen Ksign (http://www.ksign.com/) qui propose une PKI bénéficiant du soutient du gouvernement coréen très complète, avec une version pour téléphones mobiles.

La mode semble plus tournée vers le logiciels de gestion globale de type "usines à gaz", qui vont avec des agents en nombre tenter de configurer à la place de l'administrateur.
Ces solutions étaient déjà proposées il y a 10 ans, et n'ont jamais réussi à suivre les différentes versions des systèmes d'exploitation et des applications. A l'heure où les systèmes d'exploitations et les applications se multiplient : PalmOS, WindowsCE, WindowsME, WindowsXP, Linux, Solaris, True64, etc, il me semble vain de penser que celà peut tenir sans un lourd développement spécifique pour s'interfacer aux applications, c'est ce qui a causé une partie de l'échec des PKIs. L'espoir vient d'XML qui pourrait permettre des éléments et interfaces communes au moins pour la gestion des utilisateurs et de leurs droits.

Plusieurs d'éditeurs proposent des logiciels de contrôle des accès Internet, en limitant les URLs auxquelles les utilisateurs peuvent acceder. Je suis très perplexe devant la prolifération de ces produits car c'est en utilisant de tels logiciels que se justifient les solutions de contournement de l'accès internet officiel de l'entreprise, dès l'instant qu'il limite concretement les accès au lieu de se contenter de journaliser ce que font les utilisateurs afin de mieux les responsabiliser, mais en leur laissant la liberté.

Le contrôle d'accès dans le réseau avec les firewalls demeure la brique de base incontournable, et la généralisation des boitiers réseau intégrants de la sécurité est chez tous les fournisseurs.

Compaq (http://www.compaq.com/) présente une large gamme de périphérique de sécurité : lecteurs d'empruntes digitales, lecteurs de carte à puce, un module HSM (High Security Module) pour les autorités de certification, etc. Compaq propose aussi des boitiers PC pré-installé avec Linux Red Hat 6.0 durci et de nombreux logiciels de sécurité :
Checkpoint FW-1 pour le firewall et les VPN IPsec et Ranfinity pour la haute disponibilité, l'anti-virus Interscan Viruswall de Trendmicro, et ISS Realsecure pour la détection d'intrusion.
Celà démontre la migration vers les boitiers dédiés à chaque application. Les vendeurs de Compaq s'accordent sur le fait qu'il est difficile de faire de l'Unix dans une société comme Compaq si intimement liée à Microsoft et qu'ils souffrent, mais la plaquette des boitiers contient une citation interessante, dans la rubrique "choice of operating systems" : "Compaq SolutionPaqs offer users a choice of industry leading operating systems. Microsoft's Windows 2000 Server is the choice of many while the efficiency, speed and cost savings of Linux appeals to others. In either case Compaq security specialists have pre-configured and hardened the selected operating system to be secure and ready to deploy straight out of the box."
Enfin, le stand Compaq fait la promotion de l'Unix True 64 (que l'on voit rarement) et sa haute-disponibilité, et la promotion d'IPv6 avec une affiche et une démonstration d'un réseau sans fil 802.11b en IPv6 incluant des serveurs True 64 et un PocketPC sous Linux. True 64 est encore sur processeur Alpha mais 64 migre sur Intel itanium.

Symantec propose une large gamme de boitiers réseau de type firewalls et/ou VPN IPsec, dont le haut de gamme "Velocipaptor" est à base de firewall Raptor sur un PC Linux 2.2 durci, et une console de configuration sous Windows. Symantec lance également une division services, proposant de l'infogérance de firewalls, tunnels IPsec, et anti-virus, à base de produits Symantec, ansnisi que du conseil en sécurité.

La startup TippingPoint (http://www.tippingpoint.com/) avait un stand important avec des animations ne permettant pas d'acquerir des éléments techniques de fond. Ils proposent cependant un commutateur/firewall qui filtrerait à 2 Gbit/s, avec analyse de contenu, et intégration de la détection d'intrusion avec Snort (http://www.snort.org/) et du test de vulnérabilités avec Nessus (http://www.nessus.org/) dans le boitier, le tout avec un système de gestion centralisé...

Beaucoup d'autres sociétés proposaient des boitiers de commutation ou boitier firewall/VPN : Alcatel, Cisco, Nortel/Alteon, Sonicwall, Stonesoft, Toplayer, Watchguard, etc. Le seul absent de marque est Nokia, qui semble avoir abandonné ses boitiers de firewalls et de VPNs. La stratégie de Nokia est incompréhensible et sa relation avec Checkpoint particulièrement bizarre, dixit plusieurs orateurs américains. L'annonce par Checkpoint à Cannes la même semaine d'infrastructures IP pour les opérateurs mobiles, domaine où Nokia avait le monopole, augmente l'incompréhension de la stratégie de Nokia qui a racheté pas moins de 5 sociétés aux USA (Ipsilon, Ramp Networks, etc) pour être dans le marché des boitiers réseaux où son succès n'était plus à démontrer.Une piste serait que ce mouvement est le prémice, soit au rachat par Nokia de Checkpoint, soit plus probablement au rachat par Checkpoint de la division réseau de Nokia. Checkpoint en a les moyens financiers et sa survie passe par le rachat d'un fabricant de boitiers, et Nokia aurait plutot besoin de cash.

3COM (http://www.3com.com/) propose un excellent système pour le contrôle d'accès avec les cartes 3COM avec un firewall intégré et Secure Computing la console de configuration sous Windows. Il avaient été présentés en avant-première l'an dernier ⁽²⁾.
L'intéret du filtrage IP intégré dans la carte Ethernet est l'indépendance avec le système d'exploitation et toutes les compromissions dont le système d'exploitation pourrait être victime. Malheureusement le système est couteux et ne marche que sur les cartes Ethernet 3CR990SVR97, 3CR990SVR95, 3CR9909-TX-97 et 3CR990-TX-95, pour PC de table (PCI) ou laptop (PCMCIA), et a encore besoin d'un logiciel de lancement disponible uniquement sous Windows pour dire à la carte Ethernet d'aller chercher sa configuration sur le serveur central. Une nouvelle version sans ce problème, avec un système d'administration en cours de validation, est prévue. Il manque également à 3COM une version pour les cartes Ethernet sans fil, ainsi qu'un système de gestion performant, celui de Secure Computing est pauvre pour gérer des firewalls répartis.
Cependant le concept général demeure excellent.

Neoteris propose un boitier propriétaire avec un serveur web intégré qui permet d'acceder aux partages de fichier via une passerelle SMB/HTTP dans le boitier. Celà peut permettre dans certains cas un accès distant en interface web sans avoir à installer de logiciel sur le poste client. Neoteris se caractérise par un marketing difficile à supporter car plusieurs passages ont été necessaires sur le stand après étude de toute la documentation disponible pour finalement comprendre qu'il n'y avait pas d'encapsulation de SMB sur HTTP dans leur produit.

Dans le contrôle d'accès pour le commerce électronique : Sanctum (http://www.sanctuminc.com/) propose deux produits : un scanner de serveur web AppScan, et un relais HTTP en entrée AppShield, qui semble très complet comparé aux concurrents; Vordel (http://www.vordel.com/) annonce un système de contrôle XML en Servlet Java livré avec un relais Apache, et 2AB (http://www.2ab.com/) propose des logiciels de sécurisation d'infrastructures Corba et des services autour de la sécurisation d'applications développées sur un bus Corba.

ISS (http://www.iss.net/) présente en avant-première son Wireless Scanner qui devrait sortir en Mai 2002. La démonstration ne fonctionnait pas et ce logiciel est très faible comparé aux logiciels libres existants puisqu'il ne décrypte pas le WEP. Il permettra d'ajouter au scanner d'ISS la possibilité de scanner des bornes sans fil et des machines sur un réseau sans fil.

ActivCard (http://www.activcard.com/) propose une authentification par carte à puce pour le serveur d'authentification de Vernier Networks (http://www.verniernetworks.com/) qui permet d'authentifier et contrôler les utilisateurs d'un réseau local sans fil. Le serveur de Vernier Networks peut lui même utiliser un annuaire LDAP, un serveur Radius, Kerberos ou un serveur de domaine WNT/W2K.

Gemplus (http://www.gemplus.com/) propose GemSAFE Logon, une carte à puce qui en plus de conserver les mots de passe de l'utilisateur, conserve une partie de son environnement sous Windows, permettant ainsi de retrouver ses URLs favorites en passant d'un ordinateur à un autre.

Virtela (http://www.virtela.com/) offre de l'infogérance de VPN, mais aussi de l'infogérance de tunnels de voix sur IP sur des VPN chiffrés, internes à l'entreprise, pour profiter de l'Internet pour la voix. L'entreprise cliente a accès à une interface web de supervision et de configuration.

PalmSource (http://www.palm.com/), la société qui édite PalmOS, avait un stand pour promouvoir les fonctionalités de sécurité de PalmOS 5. PalmOS 5 apporte le contrôle d'accès aux fichiers, où plus exactement aux enregistrements car le système de gestion de fichiers de PalmOS est une base de données. Un processus gère l'authentifcation et un l'autorisation. PalmOS 5 intégre une bibliothèque cryptographique avec RC4, SHA-1 et la vérification de signature avec RSA; le support de SSL; la possibilité de vérifier du code signé. Le protocole d'authentification CHAP a été ajouté dans PPP. Les PDAs utilisant PalmOS sont identifiables de manière unique par 3 méthodes : le flash ID, le MAN (Mobile Access Number) et l'ESN (Electronic Serial Number), afin de permettre une gestion de parc. Plusieurs sociétés proposaient des logiciels de sécurité pour PDA comme le suédois Pointsec (http://www.pointsec.com/) et le finlandais F-Secure (http://www.f-secure.com/) avec un anti-virus pour Palm OS.
Le stand de PalmSource démontrait aussi des téléphones mobiles avec PDA intégré et PalmOS dont le HandSpring : ce type de périphériques se multiplient et il faut désormais intégrer la gestion des téléphones mobiles dans sa gestion de parc informatique pour avoir une vision globale de la sécurité.

Polivec (http://www.polivec.com/) se présente comme un concurrent à Pentasafe (http://www.pentasafe.com/) également présent en proposant avec PoliVec Builder un logiciel d'aide à la définition de sa politique de sécurité, à partir d'une base de conseils à suivre (best practices).

Enfin il y a parfois des acteurs innattendus, ainsi Sony présentait des lecteurs d'empruntes digitales : un pour PC de bureau en USB conforme à PKCS#11 avec son propre processeur et 512 Kb de mémoire flash, un autre qui se branche dans le "memory stick expamsion module" des PDAs et téléphones qui utilisent PalmOS. Pour l'anecdote Sony a aussi pour le même slot mémoire des périphériques PalmOS (MMC/SD) : un GPS et une caméra video miniature.

Une exposition interessante pour faire un point sur le marché de la sécurité, car elle réuni beaucoup d'acteurs et peu d'absents. Cette exposition confirme la difficulté économique des sociétés en sécurité, et la stabilité sur un marché où les les logiciels équipements qui se vendent sont toujours les mêmes : les anti-virus, les firewalls, etc, et une quasi absence d'innovation dans des domaines où j'en attendais, comme l'infogérance de services en sécurité ou la sécurité des réseaux sans fil.

(1) Voir compte-rendu envoyé dans la veille le 9 Février 2000 : RSA 2000 Exhibit .

(2) Je n'ai pas visité l'exposition RSA en 2001 mais un analyste avec lequel je suis en contact l'avait vu et m'en avait parlé.

Acronymes
OCSP : Online Certificate Status Protocol
PDA : Personal Directory Assistant
PKCS#11 : Standard d'interface pour les périphériques de services cryptographiques (http://www.rsa.com/)
WEP : Wire Equivalent Privacy

Pour en savoir plus
Le web de d'exposition, peu pratique : http://www.rsaconference.com/
Je recommande cependant le logiciel pour Palm et PocketPC qui est pratique et donne la liste des exposants.

      Hervé Schauer